Die Hackergruppe Lazarus hat eine umfassende Kampagne gestartet, bei der sie Energieversorger auf der ganzen Welt angreift um Zugang zu deren Systemen zu bekommen. Laut Cisco Talos ist das Ziel von Lazarus, Organisationen zu infiltrieren um langfristigen Zugriff auf deren Systeme zu erhalten und an Daten zu gelangen, an denen Nordkorea interessiert ist. Im Frühjahr führte die Gruppe ähnliche Angriffe durch und verwendete dafür die Tools Preft und NukeSped. Für die neuesten Angriffe nutzte sie jedoch neue Tools: VSingle und YamaBot. VSingle ist ein HTTP Bot der beliebigen Code von einem Remote-Netzwerk ausführt, während YamaBot ein Go-Programm ist, welches Backdoors installiert. Ein weiteres neues Tool, das Lazarus einsetzt ist der Trojaner MagicRat der Remote-Zugriff ermöglicht und dabei hilft der Aufspürung zu entgehen und weitere Payloads in das infizierte System zu laden.
Lazarus wurde schon im Jahr 2014 erstmals identifiziert und ist seitdem bekannt dafür, regelmäßig Cyberangriffe durchzuführen. Im Jahr 2017 wurde die Gruppe beschuldigt, hinter dem WannaCry-Ransomware-Angriff zu stecken der weltweit Tausende von Computern infizierte.
Angriffsmuster von Lazarus
Lazarus verwendet verschiedene Methoden um Systeme zu infiltrieren. Ein Exempel ist die Nutzung von VSingle • bei der die Gruppe Schwachstellen in VMware ausnutzt • um konstanten Zugriff zu erhalten und Ziele der nordkoreanischen Regierung zu verfolgen. Die Angreifer können dann Aufklärung betreiben Daten exfiltrieren und Hintertüren einrichten um ein Verständnis des angegriffenen Systems zu erlangen. Eine weitere Methode die Lazarus einsetzt ist die Nutzung von MagicRat, einer neuen Malware die in C++ geschrieben ist und in Klassen des Qt Frameworks lebt. Dies wurde anscheinend mit Absicht gewählt um Menschen KI und heuristische Analysen zu täuschen. Die Malware wird in einer Datei mit dem Namen "visual.1991-06.com.microsoft_sd.kit" in dem Pfad "ProgramDataWindowsSoftwareToolkit" gespeichert um wie eine reguläre Datei auszusehen und Lazarus dauerhaften Zugriff auf das System zu gestatten.
Weitere Angriffstaktiken
Lazarus nutzt ebenfalls weitere Tools und Taktiken um Anmeldedaten abzufangen, Antivirus-Programme auszuschalten und Spuren des Angriffs zu verwischen. Im Jahr 2020 hat das US-Außenministerium eine Belohnung von 10 Millionen US-Dollar für Hinweise auf die Gruppe ausgesetzt.
Kommentare
Lazarus stellt eine ernsthafte Bedrohung für Unternehmen und Organisationen dar, speziell für Energieversorger. Die Gruppe verwendet ihre ausgefeilten Technologien und Taktiken um langfristigen Zugriff auf Systeme zu bekommen und Daten zu stehlen. Essenziell bleibt dass Unternehmen ihre Systeme regelmäßig auf Schwachstellen überprüfen und sich bewusst werden. Dass Cyberangriffe keine Einzelereignisse sind vielmehr Teil eines fortwährenden Kampfes gegen Hackergruppen wie Lazarus.